På med iltflasken: Vi dykker langt ned i Whatsapp-sagen

7. september 2021 kl. 05:00
Dykker, ilttank
Illustration: Hugo1313 via Bigstock.
Whatsapp skal betale 225 millioner for brud på GDPR - men hvilke overvejelser ligger bag den beslutning, og hvad var tilsynene så uenige om, at sagen endte hos EDPB? Det finder vi svar på i denne artikel, der kigger nærmere på den årelange sags rejse mod en endelig afgørelse.
Artiklen er ældre end 30 dage

Dataansvarlige er nødt til at være gennemsigtige med, hvilken persondata man indsamler, og hvad man gør med den bagefter – uanset om man er en lille tømmerhandel på Sydfyn eller en tech-gigant fra USA.

Ellers kan man risikere at ende som WhatsApp, ejet af Facebook, der i sidste uge fik besked på at hive 225 millioner euro – eller lige under 1,7 mia. kroner – op af lommen, fordi det irske datatilsyn er kommet frem til, at virksomheden bag beskedtjenesten har brudt med GDPR.

I nyheden via linket her, kan man læse overordnet om sagens historie og kort om EU’s første artikel 65-sag med Twitter fra sidste år.

Men i denne artikel, skal vi dybere ned i Irlands afgørelse og finde svar på, hvorfor de forskellige EU-tilsyn er uenige om udkastet:

Vi kigger også nærmere på, hvad Whatsapp egentlig har gjort galt, og hvorfor bøden er endt på 225 millioner euro.

Uenighed om artikel 13: Hvilken legitim interesse?

I efteråret 2018 starter det irske datatilsyn en sag af egen drift, hvor man undersøger gennemsigtigheden af Whatsapps databehandling – specielt i forhold til, hvor meget tech-giganten fortæller brugere og ikke-brugere om datadeling med andre af Facebooks firmaer.

Artiklen fortsætter efter annoncen

Den 24. december sidste år sender den irske tilsynsmyndighed sit udkast til sagens afgørelse afsted til alle EU’s datatilsyn, hvor man foreslår en bøde på op til 50 millioner euro. 

Når Whatsapp samlet set er dataansvarlig for 326 millioner brugere og omkring 120 ikke-brugere fordelt på alle EU-lande, er det nemlig et krav i GDPR (artikel 60), at de andre landes tilsynsmyndigheder skal have indflydelse på afgørelsen.

Men hvis de ikke kan blive enige, så ender sagen som en artikel 65-sag, der skal afgøres i Det Europæiske Databeskyttelsesråd (EDPB), og derfor har rådet været inde over beslutningsprocessen i Whatsapp-sagen.

I alt har otte EU-tilsyn indsigelser til udkastet – dog ikke det danske. En af indsigelserne kommer fra hovedtilsynsmyndigheden i Tyskland, der bebrejder Irland for ikke at undersøge, om Whatsapp lever op til artikel 13(1)(d). Der står nemlig, at dataansvarlige skal fortælle registrerede, hvilken legitim interesse, man har til at behandle data.

Ifølge Tyskland, har Irland blot undersøgt, om Whatsapps beskrivelse af sin årsag til at bruge legitim interesse som behandlingsgrundlag er klar nok til, at børn kan forstå det. Men man burde også have undersøgt, om beskrivelsen er klar nok til, at voksne kan læse og forstå det. Tilsynsmyndigheden i delstaten Baden-Wüttermberg bakker op om det tyske hovedtilsyn i sin egen indsigelse over udkastet.

Hverken det polske eller det italienske datatilsyn mener, at Whatsapp giver registrerede en grundig nok beskrivelse af, hvilken legitim interesse, man har til at behandle persondata, og derfor erklærer man sig uenig med Irland, der i udkastet giver udtryk for, at Whatsapp overholder artikel 13(1)(d) med sin behandling:

»IE SA (det irske datatilsyn red.) har ikke fundet en overtrædelse af artikel 13(1)(d) i GDPR og har noteret i udkastet til afgørelsen, at oplysningerne fra WhatsApp IE gav brugeren mulighed for at forstå hvilken og hvis legitime interesser, man har fulgt,« står der i den endelige afgørelse fra EDPB.

EDPB’s vurdering

Det irske tilsyn afviser dog at følge de andre myndigheders indsigelser, for man mener ikke, de er ordentligt begrundet. Myndigheden er bange for, at det kan give bagslag, hvis Whatsapp anker sagen, og man ikke kan forsvare anklagen godt nok overfor en irsk domstol.

Men ifølge EDPB, er alle de andre myndigheders holdninger klart begrundet og relevante:

»Whatsapp IE (Irland red.) benytter flere forskellige legitime interesser, men Whatsapp IE undlader at sikre sig, at alle de oplistede legitime interesser er forklaret på en måde, der er klar og gennemsigtig nok til, at den registrerede kan forstå det,« skriver man i rapporten og uddyber:

»EDPB har fundet, at indsigelsen fra DE SA klart viser betydningen af risikoen for individers rettigheder og friheder, da den påpeger konsekvenserne for de registrerede, som for eksempel, at man ikke fuldt ud kan bruge sine andre rettigheder som registrerede på grund af den manglende information under artikel 13(1)(d) i GDPR.«

Rådet mener også, at Italiens og Polens indsigelser er relevante og rimelige, og derfor skal Irland tage højde for dem i sagens endelige afgørelse.

Udover informationer om legitim interesse, er hovedtilsynet i Tyskland er også utilfredse med, at Irland ikke har forholdt sig til, om Whatsapp har overtrådt artikel 13(2)(e), som kræver, at dataansvarlig skal fortælle den registrerede, om de absolut skal udlevere data, og hvad konsekvenserne er, hvis ikke de vil afgive den. 

Men det irske tilsyn har ikke afgjort, om Whatsapp har overtrådt den del af loven, selvom man i udkastet skriver, at Whatsapp ikke fortæller brugeren klart nok, hvilken data man skal afgive, og hvad konsekvenserne er, hvis man ikke afgiver den data.

Læs også: Kæmpebøde til Whatsapp: Skal betale 1,7 milliarder kroner for brud på GDPR

Hashing af ikke-brugeres telefonnumre: Persondata eller ej?

Tilsynsmyndighederne har også været uenige omkring, hvor lovlig Whatsapps behandling af ikke-brugeres persondata er.

Beskedtjenesten har nemlig en funktion, man kalder ‘The Contact Feature’, som giver brugere mulighed for at se, hvilke personer i deres adressebog bruger Whatsapp – men så skal appen have adgang til deres telefonkontakter. Appen tilgår samtidig adressebogen for at gemme ikke-brugeres telefonnumre i krypteret form via en ‘lossy hashing procedure’.

»Denne proces genererer en ny værdi (kendt som en ‘lossy-hashed-værdi’) baseret på telefonnummeret. Det er denne lossy-hashed-værdi, og ikke ikke-brugerens telefonnummer, som er opbevaret af Whatsapp på vegne af brugeren,« forklarer tech-giganten til det irske tilsyn i myndighedens endelige afgørelse til EDPB.

På den måde kan Whatsapp »hurtigt og nemt« opdatere brugerens kontakter i beskedtjenesten, uddyber man.

I Irlands udkast til en afgørelse er man først kommet frem til, at de hashede telefonnumre er persondata, men ændrer senere i udkastet holdning og vurderer, at det ikke er persondata, efter Whatsapp forklarer om brugen af et ‘Notification hash’:

Når en ny bruger tilmelder sig beskedtjenesten, får andre brugere med kontraktmæssig tilknytning en notifikation, men den indeholder ikke det hashede telefonnummer, understreger tech-giganten.

Selvom Irland i udkastet ikke mener, at de hashede numre er persondata, så er både det tyske, franske, portugisiske, ungarske, hollandske og italienske datatilsyn uenige.

Alle mener, der er tale om, at numrene stadig er persondata efter hashingprocessen, fordi anonymiseringen ikke er tilstrækkelig. Holland og Italien påpeger i deres indsigelser, at der snarere er tale om en pseudonymisering af data.

Det portugisiske tilsyn påpeger, at de hashede numre »har en høj grad af identificerbarhed i betragtning af den enorme mængde oplysninger, som WhatsApp IE besidder, da den sammen med rimelig brug af midler kan bruges til at gendanne telefonnumre, der var blevet slettet.«

Flere af tilsynsmyndighederne mener også, at der er tale om en overtrædelse af artikel 14 i GDPR, der siger, at dataansvarlige har pligt til at fortælle registrerede en række oplysninger om databehandlingen, hvis ikke den dataansvarlige har fået persondataen direkte fra den registrerede.

Det er for eksempel tilfældet i denne sag, da Whatsapp har skaffet ikke-brugeres telefonnumre fra andre registrerede, og derfor mener tilsynene, at Whatsapp skulle have oplyst ikke-brugere om databehandlingen

Men her skiller Ungarn sig ud ved at erklære det meningsløst, at Whatsapp skulle give ikke-brugere oplysninger om databehandlingen i sin app. Det er nemlig meget usandsynligt, at ikke-brugere overhovedet er klar over, at databehandlingen finder sted, og så vil de nok aldrig støde på informationerne, skriver tilsynet.

I udkastet er Irland enige i, at Whatsapp har brudt med GDPR’s artikel 14, og man har derfor i første omgang foreslået, at dén overtrædelse skulle koste mellem 75 og 100 millioner euro. Men fordi man senere ændrer holdning og vurderer, at de hashede numre ikke er persondata, ændrer man bødestørrelsen til mellem 30 og 50 millioner euro, da overtrædelsen af artikel 14 i det tilfælde ikke er så grov.

Men både Italien og Tyskland opfordrer Irland til at ændre bødestørrelsen, og sidstnævnte påpeger også, at Whatsapp intet gyldigt grundlag har til at udføre persondatabehandlingen af ikke-brugere.

EDPB’s vurdering

Irland erkender, at de andre EU-tilsyns indvendinger er relevante og rimelige, men deres argumenter er ikke stærke nok til, at man med sikkerhed kan kalde telefonnumrene persondata efter hashingsprocessen.

Samtidig afviser Irland, at Whatsapps argumenter er stærke nok til, at man med sikkerhed kan kalde data anonymiseret efter hashingen.

Man vælger ikke at følge de andre tilsynsmyndigheders indvendinger, fordi man ligesom med artikel 13-uenighederne er bange for, at svage argumenter kan give bagslag i en retssal, hvis Whatsapp vælger at anke sagen.

Også EDPB vurderer at alle tilsynenes indsigelser er relevante og rimelige, og man slår derudover fast, at de hashede numre ikke kan være anonyme, men er persondata.

Knas omkring artikel 5: Er der et overordnet problem med gennemsigtigheden?

I udkastet til sagens afgørelse nævner Irland artikel 5(1)(a) og 5(2) flere gange, men man forholder sig aldrig til, om Whatsapp har overtrådt kravene, og det er et problem, mener det ungarske og italienske tilsyn.

Den første regel siger, at persondata skal behandles på en lovlig, fair og gennemsigtig måde, og den anden regel siger, at ansvaret for dét ligger hos den dataansvarlige. 

Begge tilsynsmyndigheder mener, at Whatsapps utilstrækkelige oplysninger til de registrerede om databehandlingen – brud på artikel 12, 13 og 14 – indikerer, at man også bryder med artikel 5’s krav om overordnet fairness og gennemsigtighed.

Den irske tilsynsmyndighed mener hverken, at Ungarns eller Italiens indsigelser vedrørende artikel 5 er relevante eller rimelige, da de falder udenfor undersøgelsens anvendelsesområde.

Men tilsynet erkender dog, at det kunne give mening at tilføje en ekstra undersøgelse af, om Whatsapp har brudt med artikel 5, til sagen. Det kræver dog, at tech-giganten skal have lov til at blive hørt i sagen før en endelig afgørelse, påpeger man.

Irland vælger dog ikke at følge myndighedernes indsigelser, da alle berørte tilsyn på ingen måde kan nå til enighed omkring et kompromis.

Efter sagen lander hos EDPB, når rådet frem til, at det italienske tilsyns indsigelse omkring artikel 5(1)(a) er relevant og rimelig, men at man ikke kan altid sætte lighedstegn mellem en overtrædelse af artikel 12-14 og artikel 5(1)(a).

I denne specifikke sag, kommer rådet dog frem til, at Whatsapp har brudt med artikel 5(1)(a) og pålægger Irland at medtage den vurdering i den endelige afgørelse.

Udover undersøgelsen af artikel 5, har Ungarn også gjort indsigelse mod, at Irland i udkastet har givet Whatsapp seks måneder til at rette op på den problematiske databehandling. Det ungarske tilsyn mener, at det er for lang tid, og her er EDPB enige. Rådet pålægger Irland at ændre Whatsapps deadline fra seks til tre måneder i den endelige afgørelse.

Læs også: Regeringen venter et år med at kaste sparekniven efter Datatilsynet

Andre EU-tilsyn: Skal bøden ikke være større end 50 mil?

Ifølge GDPR’s artikel 83, kan bødestørrelsen for en overtrædelse være helt op til fire procent af en virksomheds årlige omsætning, men på det område har der også været uenigheder i denne sag.

Irland har i udkastet til afgørelsen taget højde for Facebook Inc’s og Whatsapp IE’s samlede årlige omsætning. Men ifølge hovedtilsynet i Tyskland, bør det irske tilsyn i stedet tage højde for den samlede årlige omsætning for alle Facebook-gruppens virksomheder, og det er EDPB enige i.

Derudover er det tyske, franske og portugisiske tilsyn meget uenige i Irlands fortolkning af artikel 83(3), der lyder:

»Hvis en dataansvarlig eller -behandler med vilje eller uagtsomt, i den samme eller tilknyttede databehandling, bryder med flere dele af denne forordning, skal den samlede størrelse på bøden ikke overgå størrelsen, der er angivet for den alvorligste overtrædelse.«

Irland foreslår i udkastet, at man giver den maksimale bøde for overtrædelsen af artikel 14 og så undlader at give bøder for overtrædelsen af artikel 12 og 13. 

Men det falder ikke i god jord hos de andre myndigheder, der påpeger, at det kan have store konsekvenser for de registrerede fremover, hvis dataansvarlige kan slippe afsted med at bryde flere GDPR-krav, men kun blive bødemæssigt straffet for én overtrædelse.

Irland erkender, at indsigelserne er relevante og rimelige, men påpeger også, at der ikke er én fælles fortolkning af artikel 83(3) i EU, og at tilsynsmyndighederne historisk har fortolket den regel meget forskelligt.

Derudover er det svært at sikre, at bøden ender med at være »effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning«, som er et krav i artiklens stk. 1, når man samtidig skal tage højde for stk. 3.

EDPB mener også, at myndighedernes indsigelser er relevante og rimelige og beslutter, at Irland skal ændre bødestørrelsen til også at tage højde for Whatsapps andre GDPR-overtrædelser og ikke kun artikel 14.

Den irske tilsynsmyndighed foreslår til at starte med en bøde på mellem 30 og 50 millioner euro, men den størrelse er både det tyske, polske, ungarske og italienske tilsyn utilfredse med.

Ifølge Tyskland vil bøden på ingen måde virke afskrækkende på Whatsapp, hvis man tager Facebook-gruppens årlige omsætning i betragtning. 

Polen henviser til 2019, hvor den franske tilsynsmyndighed gav Google en GDPR-bøde på 50 millioner euro, og anklager Irland for at modellere sin bødestørrelse efter den sag i stedet for at tage højde for Whatsapp-sagens lovmæssige og faktuelle kontekst.

Irland afviser igen myndighedernes indsigelser, men EDPB mener at både Tysklands, Italiens og Ungarns indsigelser er relevante og rimelige – bøden vil sandsynligvis ikke virke effektiv, rimelig eller afskrække overfor Facebook, og det skal Irland fikse med en ny bødestørrelse i den endelige afgørelse.

Rådet giver det irske datatilsyn én måned til at færdiggøre sagen.

Irsk kommissær: Overtrædelserne er meget alvorlige

I den endelige afgørelse er bødestørrelsen vokset fra maks 50 millioner euro til 225 millioner euro, og den baserer sig på Whatsapps overtrædelser af fire GDPR-artikler:

  • 90 millioner euro for at overtræde artikel 5(1)(a)
  • 75 millioner euro for at overtræde artikel 14
  • 30 millioner euro for at overtræde artikel 13
  • 30 millioner euro for at overtræde artikel 12

Et af hovedproblemerne er, at Whatsapp kun har givet brugerne 41 procent af de oplysninger om databehandlingen, som GDPR kræver. Og ikke-brugere har fået absolut ingenting af vide.

»Alle fire overtrædelser er fra mit synspunkt meget alvorlige. De er hjertet af det generelle princip om gennemsigtighed og individets fundamentale rettighed til at beskytte hans/hendes persondata,« skriver Helen Dixon, den irske databeskyttelseskommissær, i sin afgørelse til EDPB.

Overtrædelserne af artikel 12 og 13 er især alvorlige, når det handler om ikke-brugere, uddyber hun. Man har ingen forudsætning for at vide, at Whatsapp behandler ens persondata, selv hvis man aldrig har haft noget at gøre med appen. 

Og hvis man gør forsøget og leder efter oplysninger om behandlingen af ikke-brugeres persondata, så findes informationerne ikke.

»Der er intet i oplysningerne, der indikerer, at ikke-brugeres oplysninger er underlagt en lossy-hashing-proces og efterfølgende opbevares på Whatapps servere,« skriver hun.

Selvom man har krypteret telefonnumrene, så er det en regelmæssig praksis, og dataen bliver opbevaret hos tech-giganten på ubestemt tid. Den behandling gavner på ingen måde den registrerede ikke-bruger, understreger hun og kalder alle overtrædelserne »uagtsomme«:

»Det er min holdning, at sådan en kategorisering reflekterer dataansvarliges eller databehandlers skødesløshed,« skriver hun og uddyber, at Whatsapps størrelse taget i betragtning, så burde det være muligt at overholde GDPR’s krav om en gennemsigtig databehandling.

De eneste ting, der gør situationen lidt mindre alvorlig er, at der er tale om relativt få kategorier af persondata, og at Whatsapp er villige til at ændre privatlivspolitikken, ifølge kommissæren.

Hun kan dog ikke tillægge det særlig meget vægt i betragtning af sagens alvor, og fordi Whatsapp først er begyndt at ændre sin politik sidste december.

Hun vurderer, at bødestørrelsen vil virke effektiv, rimelig og afskrækkende overfor Whatsapp og pointerer, at de 225 millioner euro stadig er under fire procent af Facebook-gruppens årlige omsætning i 2020 på omkring 86 mia. amerikanske dollars. 

Selvom Whatsapp betaler bøden, skal tech-giganten stadig ændre sin privatlivspolitik, så den giver brugere og ikke-brugere de oplysninger, som artikel 12, 13 og 14 kræver. 

Det arbejde begyndte man på i slutningen af sidste år, og nu har Irland så givet Whatsapp en deadline på tre måneder til at komme i mål med ændringerne.

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger